[Zet]

Вирусы и как с ними бороться. Часть первая

Если сравнивать компьютер с человеком, а вернее реальную жизнь с виртуальной, то можно провести параллели между человеческим здоровьем и компьютерным, а точнее между той заразой, которую мы и в реальной, и в виртуальной жизни называем вирусами.

Вирус (производное от латинского слова "яд")- микроскопическая частица, способная инфицировать клетки живых организмов.



На борьбу с биологическими вирусами брошены различные прививки и таблетки (а в перспективе и наномедицина), а на борьбу с программными (виртуальными) брошены антивирусные приложения. Но откуда берутся вирусы? Вот в чем вопрос.

С теми, которые вредят здоровью человека, все понятно: новые вирусы возникают вследствие природной мутации, а иногда не без человеческой помощи. Что же касается компьютерных вирусов, то они сами на свет появиться не в состоянии, их изначально придумали очень умные молодые люди. Одним из первых вирусописателей (а по некоторым источникам он был именно первым) стал Фред Коэн, аспирант калифорнийского университета. Свой первый вирус он написал в ноябре 1983 года в ходе исследований, связанных с компьютерной безопасностью. Немного позже работа над написанием вирусов была запрещена и прекращена. Что характерно, вирус, написанный Фредом, работал на машине VAX 11/750 под управлением системы Unix, той самой, на которой вирусы так и не прижились. Но именно этот день можно считать рождением новой забавы, которая со временем превратилась в настоящий террор и преступление в руках людей, начиная от несовершеннолетних одиночек и заканчивая целыми плотно сплоченными сетевыми бандами хакеров.

Если мы уж завели разговор о вирусах, то давайте разберемся с тем, какие именно типы вирусов бывают. Но для начала необходимо понять, что вирус, троян и червь - это разные вещи, а вирусами их называют, как бы объединив в единую группу логически. Если же называть все "по науке", то весь этот зоопарк нужно именовать не иначе как "Riskware".

Бутовые вирусы (Boot viruses) - этот тип вирусов заражает загрузочную область дискет и жестких дисков; запускается во время загрузки системы и начинает свои зловредные действия.

Макро-вирусы - этот тип вирусов был разработан специально для распространения с помощью документов, созданных в пакете Microsoft Office (а точнее, MS Word). Принцип работы прост как день: в момент запуска текста или таблицы на редактирование (но не на просмотр сторонней программой вьювером) запускается деструктивная макрокоманда (вирус), написанная на языке Visual Basic.

Черви - обычно распространяются посредством почтовых программ при получении сообщения. Некоторые из них нужно запустить вручную из вложения, некоторые запускаются сами в момент загрузки, а некоторые вообще достаточно всего лишь выделить мышкой для удаления - и вирус запущен. Также могут быть черви, распространяющиеся через видеосервисы (типа YouTube). Если в процессе просмотра видео к вам на винчестер в ОС через дыру в браузере пролазит вирус и начинает вредить, я думаю, понятно, почему этот тип вируса называют червем. Черви как раз и используют слабые места (дыры) в операционных системах, браузерах и приложениях, а критические обновления призваны устранить такую возможность - но на практике обновления к дырам (заплатки, патчи) выпускают во много раз реже, чем черви и эксплойты к ним. Самое неприятное то, что черви, в отличие от вирусов, удалить антивирусом можно не во всех случаях, иногда пользователю приходится удалять их вручную. Нередко на сайтах производителей антивирусных программ можно узнать инструкции по удалению того или иного червя.

Трояны (троянские кони) - если вспомнить историю Древней Греции, то сразу станет понятно, что это за тип вируса. Вкратце напомню. Легенда гласит, что во время войны между греками и троянцами греки соорудили огромного деревянного коня и залезли внутрь него, а троянцы возьми да и втащи его в город. Ночью оттуда повылазили "гости" и тут такое началось.… В общем, в компьютерном мире то же самое: скачали вы, значит, какой-нибудь там кейген (генератор кодов к программам, обычно хакерская машинка для взлома платной продукции), и во время генерирования кода к вам на компьютер распаковывается программка в несколько десятков килобайт (а то и байт!) и приступает к работе. Обычно троянские кони выполняют кражу различной информации, начиная от паролей к банковским счетам и кошелькам и заканчивая отчетом обо всех нажатых клавишах в системе, ну и еще совершают массу неприятных действий. Конечно, трояны могут залазить на компьютер не только через различного рода сомнительные программы, они могут быть внедрены даже в антивирус, скачанный из ненадежного источника, или находиться в любой другой с виду надежной программе, так что следите за тем, откуда качаете софт.

Программы-звонилки (дайлеры) (от англ. "dialers") - вирусы этого типа призваны совершать через модем, установленный в системе, звонки на очень дорогие номера, находящиеся за границей, обеспечивая хозяину компьютера колоссальные счета за телефонные переговоры. Вообще этот тип вирусов из разряда вандальских шалостей, но иногда он может принести и материальную выгоду своему хозяину. Представьте тарифный пакет сотового оператора, в котором за каждую минуту входящего звонка начисляются бонусы. Прикинули?

Кейлоггеры (от англ. слова "keylogers")- "слушают" прерывания клавиатуры и записывают их в лог-файл, после чего отправляют на некоторый почтовый адрес своего хозяина, который таким образом получает все пароли и секреты, вплоть до набранных документов в любом текстовом приложении.

Spyware (спайвары) - программы-шпионы. Интегрируясь в вашу систему очень глубоко (скрытые инсталляционные папки и скрытые процессы) они записывают о вас всю информацию и отправляют на e-mail или оставляют логи на компьютере. Сбор информации ведется, начиная о посещенных сайтах и заканчивая запущенными приложениями и разговорами через сервисы типа Skype. Иногда программы-шпионы распространяются совершенно легально и призваны следить за детьми, работающими на компьютере, о них часто пишут в компьютерных изданиях, они платные и зачастую содержат в себе модули, шпионящие за машиной, на которую инсталлированы.

Adware (в переводе с англ. "рекламная программа") - это очень интересный тип вирусов; попадая к вам в систему, а именно в конфигурационные файлы почтовиков и браузеров, а также в реестр, они показывают вам рекламу с различных источников, которую вы вовсе не желаете лицезреть, тем самым, принося деньги хозяевам, заключившим сделку с рекламодателем.

Root-kit ("rootkit") - это целый набор инструментов, которые позволяют управлять вашей системой удаленно и выполнять абсолютно все действия, вплоть до форматирования разделов. Происхождение этого типа вредоносных программ совсем безобидное, они относятся к инструментам для системных администраторов, загружаются на компьютеры через так называемые лазейки бэкдоры (backdoor), которые находят портсканерами или используя программы-эксплойты, предварительно снимая баннеры с системы удаленно и узнавая таким способом, какой тип ОС установлен на машине (сервере) и какой тип эксплойта туда применим. Ну, тут уже попахивает удаленным взломом системы.

Фишинг, спуффинг, тайпсквоттинг и спам тоже можно в некотором роде отнести к вирусам, хотя это скорее технологии обмана и мошенничества, которые нацелены на то, чтобы заработать денег на неопытном или невнимательном пользователе.

Полиморфные вирусы - вирусы этого типа, попадая на машину, сразу стараются видоизменить свой код, что очень затрудняет выпуск сигнатур и отслеживание мутации этой твари; также в эту группу не грех будет включить и вирусы-невидимки, которые маскируются в системе, становясь как бы обычным процессом word.exe.

Классический вирус (файловый вирус) - это понятие весьма неоднозначное, и один вирус не похож на другой как по действию, так и по принципу заражения файла, но стоит отметить, что иногда вирусы добавляют себя сразу в несколько файлов на компьютере, расположенных в системных папках. Одним словом, вирус с именем virus.bat может при запуске "расселить" себя в три файла xxx.dll, xxx.exe и xxx.com и таким образом выполнять свои деструктивные действия на компьютере, запускаясь при старте компьютера и попадая в оперативную память. Иногда вирусы просто добавляют себя в код какого-либо файла, например видео, фото или звукового, тем самым, выводя его из строя (разрушая).

Как видите, основной список компьютерной заразы очень обширен, и при активном и неосторожном пользовании компьютером (а особенно когда есть доступ в Интернет) можно заразить его вирусом, который может причинить множество неприятностей. О них давайте поговорим отдельно.


Каким образом вирусы попадают на компьютер, мы немного разобрались, теперь давайте рассмотрим, какой вред могут причинить вирусы и как они работают. Попав на ваш компьютер и запустившись, вирусы чаще всего записывают себя в ключе реестра на автозагрузку и после следующего старта начинают свои действия, спектр которых начинается мелкими шалостями в виде появляющихся на мониторе неприличных слов и заканчивается парализованной сетью или испорченными .exe файлами. Вообще на этот счет можно написать целую книгу, случаев много - и вы поймете по поведению системы, что с ней что-то не так. Стоит отметить, что любой вирус сначала нужно запустить, а каким методом это будет сделано - совершенно не важно, иногда вирусы способны даже блокировать работу брандмауэра и антивируса, полностью захватывая контроль над системой. Также уместно будет напомнить, что активный вирус всегда загружен в оперативную память (иначе он просто как кобра в ящике).

В *nix системах с вирусами дела обстоят намного лучше. Дело в том, что файловые вирусы здесь вообще не получили распространения, поскольку в эту операционную систему изначально была заложена концепция мониторинга целостности файлов встроенными утилитами типа Tripwire и AIDE, и незаметно изменить файл практически невозможно ни системой, ни пользователем. А если еще и учесть очень гибкую схему распределения прав пользователям, то получить доступ к системным файлам становится просто нереально. Конечно, как и во всех ОС, в *nix системах есть и слабые места, а именно атака на приложение и переполнение буфера. Сейчас идет усовершенствование работы стека памяти, и скоро нападающему будет трудно просчитать, какой стек будет использоваться следующим, так что выполнить метод переполнения буфера станет еще сложней. Существует немного троянов, шпионов, adware и червей для систем Linux, но их доля настолько ничтожна, что даже неудобно говорить, а уж взломать удаленно эту систему удается вообще только крутым асам. Немаловажную роль здесь играет и то, что это открытая ОС и, притом, что написать к ней вирус не так-то просто, заплатку сделают в одно мгновение.

В быту у пользователей ходят разные сказки о вирусах, которые якобы выводят из строя железо, начиная от сгоревших процессоров и заканчивая повреждением нулевой дорожки винчестера. Это неправда. Уже довольно долгое время вирусы могут создавать только программные (софтовые) проблемы (хотя иногда испорченная информация на корпоративном компьютере бухгалтера может стоить десятка геймерских машин). В незапамятные времена писались вирусы, которые могли причинить вред компьютерам, вернее их железной части, но в то время железо было столь ненадежное, что сравнивать с нынешним не приходится. В пример можно привести вирус, задача которого заключалась в том, чтобы свести лучи ЭЛТ-монитора в одну точку и через пару минут получить на этом месте прогоревший люминофор. Были вирусы, перепрошивающие системный BIOS, тем самым, выводя из строя машину - но это было уже не смертельно. А качество и безопасность нынешнего железа делает его повреждение просто невозможным.


Какие они, антивирусы?

Антивирусы бывают нескольких типов, а именно программные, аппаратные и онлайновые. Программные антивирусы - это те, которые мы привыкли видеть установленными на своих компьютерах, а аппаратные решения обычно применяются в бизнес-сетях. Аппаратные антивирусы способны "на лету" сканировать весь приходящий и исходящий IP трафик, что позволяет снимать нагрузку на процессоре сервера, а вдобавок ограждают всю сеть от входящих через Интернет вирусов (однако не стоит забывать, что вирусы попадают на компьютеры не только через сеть, но и посредством различных съемных носителей). В пример можно привести решение от компании ZyXEL и Лаборатории Касперского ZyWALL UTM.



Говоря об онлайн-антивирусах, замечу, что далеко не все компании предоставляют такой сервис, могу лишь отметить компанию Panda Software с ее сервисами TotalScan или NanoScan beta по адресу www.infectedornot.com.

Также существуют антивирусные решения, которые "вшиты" в железо, а именно в материнские платы и процессоры, но такие решения сразу лучше отключать, поскольку они очень сильно нагружают машину в целом, сканируя и анализируя работу приложений в реальном времени, да и эффективность их спорная.

У многих пользователей (даже старожилов "компьютерного фронта") выработалось свое мнение по поводу качества того или иного антивирусного пакета, но далеко не все представляют, сколько вообще в мире существует антивирусов, какими мерками измеряют их производительность и реально ли вообще это сделать. А споры на тему качества антивируса вообще в 99% случаев не подкреплены никакими серьезными аргументами, кроме "грузит систему и не ищет вирусы". Но давайте обо всем по порядку.

Для начала я бы хотел привести три основные группы антивирусных компаний, по мнению авторитетного журнала Virus Bulletin, который мы еще вспомним.


Первая группа:

Symantec (США)
McAfee (США)
Trend Micro (Тайвань; но доминирует на рынке Японии)


Вторая группа:

Sophos (Англия)
Panda Software (Испания)
Computer Associates (США)
F-Secure (Финляндия)
Norman (Норвегия)
AhnLab (Южная Корея)
AVP (Антивирус Касперского) (Россия)
(Вторая группа антивирусов наиболее популярна на локальных рынках).

Третья группа:

Alvil - Avast (Чехия)
Arcabit (Польша)
Doctor Web (Россия)
ESET - NOD32 (Словакия)
Frisk Software (Исландия)
Gri Soft (Чехия)
H+BDW (Германия)
Hauri (Южная Корея)
Soft Win (Румыния)
Virus Buster (Венгрия)
UNA (Украина)
STOP! (Украина)
Rising (Китай)
King Soft (Китай)


Также существуют компании, такие как немецкая G-Data, которая продает антивирус, созданный на базе российского AVP, они в список не попали, среди их продуктов есть и антивирусы с достаточно громкими именами. Не стоит воспринимать этот список как мерило для антивируса, это лишь отображение ситуации в расстановке сил на мировом рынке, а не продукта в целом, ведь в США пользователей ПК гораздо больше, чем в Украине или России, а уж про Китай и Японию я вообще молчу. Конечно, я бы с удовольствием написал о таких продуктах, как детища компании АО "Диалог Наука" Aidstest, Dr. Web, Adinf, и о лаборатории Касперского, и о таких людях, как Евгений Касперский, Игорь Данилов и Дмитрий Лозинский поименно, но боюсь, что статья получится просто огромной.

Также иногда случаются порой курьезные ситуации, когда пользователь скачивает из сети антивирус, устанавливает его (или вообще запускает единственный экзешник, из которого он состоит), и тот находит на эталонной (свежеустановленной) ОС несколько десятков "выдуманных" вирусов, попутно предлагая купить лицензию и скачать новые сигнатуры и полифаг, который вылечит зараженные файлы. Конечно, на такие обманные программы нужно обращать особое внимание. Кстати, вот один из таких псевдоантивирусов-Hoax.Renos.

Теперь нужно определиться с тем, для каких целей нам нужен антивирус, как происходит его установка, настройка, обновление и поддержка, с какими трудностями можно столкнуться в процессе использования антивируса, а для чего антивирус не подходит вообще. Также мы коснемся того, как антивирус обнаруживает вирусы, какие типы обнаружения существуют и как он работает в принципе.

[Zet]

Вирусы и как с ними бороться. Часть вторая

В первой части статьи Вирусы и как с ними бороться мы рассмотрели теоретические основы вирусостроения. Сегодня подбираемся ближе к практике.


Для чего нам нужен антивирус?

В первую очередь для того, чтобы своевременно обнаруживать и удалять вирусы и тому подобную заразу. Но для начала нам его нужно установить. Сразу оговоримся, что помимо вирусов как таковых существует еще целый ряд деструктивных сетевых действий, на борьбу с которыми рассчитан фаервол (он же брандмауэр), часто идущий в пакете с антивирусом в виде модуля расширения, который можно установить, а можно и отказаться от его установки, воспользовавшись услугами таких мэтров как Agnitum Outpost Firewall Pro - кстати, последний не уживается практически ни с какими сторонними разработками. Вообще роль брандмауэра в системе нельзя умалять, он закрывает неиспользуемые сетевые порты, "мониторит" их на предмет нецелевого использования, а также запрещает выход в сеть неугодным приложениям, отражает сканирование портов, DDoS атаки и выполняет еще массу различных и крайне необходимых мер безопасности, так что отнеситесь к нему с большим вниманием, а на штатное решение компании Microsoft особо полагаться не стоит. О фаерволах нужна отдельная статья, потому что они тоже делятся на классы и типы фильтрации сетевого трафика (динамическая и пакетная фильтрация), у которых, разумеется, тоже есть свои достоинства и недостатки.

Каждый производитель выпускает антивирусы для различных платформ, например существуют версии того же самого AVP как для различных Windows платформ, так и для Unix/Linux систем, MacOS. Уже многие компании начали выпуск антивирусных пакетов для мобильных устройств на базе SymbianOS, PalmOS и клоны Windows CE (WM, Pocket, Smartphone и т.п.). Многие юзеры, конечно, и не подозревают о том, что уже существуют вирусы и под эти платформы, а некоторые уже знают о них, получив через Bluetooth вирус Duts для WM 2002/2003 или Cabir для Symbian.

Слухи о том, что якобы появились вирусы под мобильные телефоны, небезосновательны, но особо бояться их не стоит. Во-первых, теоретически, мобильный телефон можно заразить только посредством java-мидлета, а во-вторых, от модели к модели нередко меняется аппаратная и программная часть, и написать вирус, поражающий все модели телефонов одновременно, просто невозможно - тем более, что доступ к файловой системе телефона получить не так просто, да и подсистема памяти у мобилок устроена несколько иначе, чем у смартов.


Где взять антивирус

Можно иметь дело с коробочной версией антивируса - той, которая продается в красивой коробке и стоит немало, а можно установить себе и триал-версию продукта, которая будет исправно трудиться в течении определенного производителем срока, а после этого либо прекратит работу (может работать частично, просто обнаруживая вирусы, но отказываясь их лечить), либо лишится поддержки и обновления антивирусных баз. Для установки антивируса нужно обязательно удалить предыдущий антивирус (если он от стороннего производителя), иначе два разных ядра перехватчика системных событий не уживутся, и возникнет конфликт, вплоть до полной невозможности загрузки ОС, тогда придется загружаться в безопасном режиме и удалять один антивирус. А может быть и еще хуже, придется откатывать систему к контрольной точке восстановления.

В процессе установки разные антивирусы могут предлагать различные попутные настройки с обязательно установленной кнопкой в положение Recommended. Если вы не особо разбираетесь в работе антивируса, то лучше так и оставьте. Далее возможна ситуация, когда антивирус просканирует ОЗУ вашего кремниевого друга и удалит все вирусы из нее, после этого поступит предложение просканировать весь жесткий диск на предмет вирусов, до перезагрузки (если в памяти были найдены вирусы), не советую пренебрегать этим предложением. После сканирования перезагружаемся и если до этого в системе антивирус установлен не был, то наблюдаем более низкую скорость загрузки ОС, потерю нескольких десятков мегабайт ОЗУ, а если машина совсем уж слабенькая, то может наблюдаться и замедление работы — но поверьте, оно того стоит.


Как работает антивирус?

Практически каждый антивирус состоит из нескольких модулей, а именно из сканера, монитора, брандмауэра и различных блоков, защищающих нас от спама, фишинга и тому подобных неприятностей.

Начнем по порядку: с того, какие типы обнаружения вирусов существуют, а их всего три, это сигнатурный, эвристический и проактивный.


Сигнатурный метод обнаружения вирусов

Для начала давайте разберемся, что же такое сигнатура. Сигнатура - это участок кода вируса, который обнаружили антивирусные компании и добавили этот участок кода в базу сигнатур антивируса, и теперь во время сканирования антивирус будет проверять каждый файл на компьютере на наличие такой сигнатуры в коде (как бы прикладывая ее к телу файла). Если он ее отыщет, то она будет извлечена из тела файла, то есть файл окажется вылечен (этим занимаются фаги и полифаги). Многие пользователи не могут представить себе, как антивирус может вообще заглянуть в файл, и хотят посмотреть на примере участок кода (открою вам секрет: вирус не может заразить чисто текстовый файл таких форматов как txt, rtf или "чистый" html, и если вы посмотрите эти файлы с помощью HEX-редактора, то сразу поймете, почему). Итак, откроем файл adptif.dll из директории System32 программой ResHacker (она позволяет декомпилировать некоторые файлы для последующего анализа исходника).



На рисунке видна сигнатура, которую я специально добавил в тело "диллки" из существующего вируса под названием Email-Worm.Win32.Happy (из легендарного вируса!), примерно так и работает антивирус, декомпилируя файл и ища в нем сигнатуры вирусов (на самом деле, конечно же, код длинней, но и на сохраненные изменения в этом файле моя "Панда" отреагировала незамедлительно).

Многих также интересовал вопрос, как же все таки тело вируса попадает в антивирусные лаборатории, и я постараюсь на него ответить. Ну, во-первых, у каждой компании есть специальный робот, который называется Honeypots (липучка), сканирующий Интернет в поисках вирусов посредством эвристического анализа и проактивных методов (о которых чуть ниже), также вирусы присылают "зараженные" пользователи, чей антивирус с помощью эвристического анализатора обнаружил вирус и поместил его в карантин (специальная директория, в которую помещается инфицированный файл до тех пор, пока антивирусная компания не выпустит сигнатуру с кодом этого вируса и антивирус не сможет "выкусить" этот участок вредоносного кода фагом, тем самым, вылечив файл, а до тех пор придется выкусить пользователю Файлы из этой директории не могут быть запущены на выполнение).

В некоторых случаях сигнатуры новых вирусов отправляют друг другу и компании антивирусного ПО. Да-да, это не шутка. Несмотря на маркетинговую политику, такое происходит, это поведал один руководитель крупной российской антивирусной компании в онлайн-интервью. А вообще в антивирусные компании ежедневно поступают из всех помянутых источников 200-300 свеженьких образцов различных "зверушек", написанных как профи, так и не очень опытными вирусописателями, некоторым образцам так и не суждено заразить ни одной машины, а некоторым, таким как Win95.CIH (он же "Чернобыль"), Sasser, NetSky, MyDom удается произвести настоящий шум.

После того как сигнатуры на сервере антивирусной компании добавлены в базы, антивирус подключается к официальному серверу или к зеркалу (если этому не противоречит регламент) и скачивает новые сигнатуры, добавляя к уже существующим.



Иногда в неделю добавляется сигнатур объемом в 350-400 кб, и после того как сигнатуры добавлены, файлы, находившиеся в карантине, будут вылечены (т.е. если вирусы, которыми они заражены, найдутся в базе).

Также иногда возникает спор на тему того, что у одного антивируса в базе 75 000 известных вирусов, а у другого их аж 125 000, и последний, как правило, в глазах несведущих пользователей выглядит привлекательней. Но тут тоже есть рекламная хитрость, дело в том, что у одного вируса может быть несколько мутаций (небольшое изменение кода вследствие модификации вредоносного кода), так вот, некоторые компании считают группу мутаций одного вируса (которая может достигать десятка) одним вирусом, другие считают каждую мутацию отдельным вирусом. Сигнатурный метод очень хорош тем, что в случае, когда вирус известен антивирусной компании и его сигнатура занесена в базы, он будет найден наверняка, на все 100%.

У сигнатурного метода обнаружения есть и слабые места, а именно: при увеличении файла(ов) сигнатур увеличиваются и требования к ресурсам компьютера, а еще такой метод поиска и обнаружения способен отыскать только те вирусы, которые заранее известны и не более того. Новые вирусы пишутся просто с бешеной скоростью, а на то, чтобы обнаружить новый вирус и добавить в базы, нужно время. Если учитывать, что на написание нового вируса у профи может уйти всего 15-20 минут, а на распространение и заражение сотен компьютеров в сети и того менее - 20-30 секунд (!), то станет понятно, что динамичным и надежным такой метод назвать трудно.


Эвристический метод обнаружения вирусов

Сразу после изобретения сигнатурного анализатора антивирусные компании начали искать альтернативы - по той простой причине, что успевать за вирусописателями и их творениями (которые, к слову, могут сами себя видоизменять и шифровать), стало совсем непросто. Тем более, что упаковщики, в которые упаковывают вирусы при создании, становятся все сложнее и сложнее, что делает добывание сигнатур еще более медленным и трудоемким делом. И в дополнение к старому методу был добавлен эвристический анализатор.

Слово "эвристика" происходит от греческого "отыскиваю, открываю", и построен этот метод, грубо говоря, на анализе проб и ошибок. На практике при работе антивируса эвристический анализатор распознает некоторые виды мутировавших вирусов, но зачастую такой метод порождает ложные срабатывания. Зато именно с помощью этого метода возможна некоторая защита от отсутствующих в базе вирусов, то есть подозрительный файл будет помещен в карантин, откуда будет передан антивирусной компании в момент следующего обновления. В компании его исследуют и добавят код в базу сигнатур, после чего этот файл, возможно, будет вылечен.

Один совет по поводу сотрудничества с антивирусными компаниями. Иногда антивирусная компания просит присылать обнаруженный вирус или инфицированный файл по почте с пометкой "вирус", но дело в том, что по дороге от почтового сервера к почтовому серверу файл подвергнется проверке и будет либо удален, либо дезинфицирован, поэтому следует его предварительно упаковать в архив с паролем и в тексте письма указать пароль.

Помните, что ни один антивирус не обнаружит вирус в запароленном архиве. Когда же вирус или инфицированный файл попадает в карантин, то он сразу шифруется и становится недоступным для всех приложений, кроме антивируса, и в лабораторию при следующем соединении с сервером он будет отправляться также в зашифрованном виде, но уже напрямую, минуя почтовые сервера. Ни один антивирусный монитор не даст вам сделать ни одного действия над зараженным файлом, а будет его блокировать (обычно на защищенных от записи носителях) или сразу лечить, поэтому нужно будет, отключив резидентный модуль (о нем ниже), заархивировать файл с паролем, а потом запустить резидента снова (вообще я все эксперименты с вирусами произвожу на виртуальной машине, что и вам советую).


Проактивный метод обнаружения вирусов (или поведенческий)

Этот метод обнаружения впервые появился в продукте "Антивирус Касперского 6.0" и произвел в некотором роде переворот в антивирусном ПО.



Этот метод включает в себя несколько принципов анализа. Первый из них - вычисление контрольных сумм файлов, которую при последующем сканировании антивирус будет сравнивать со своей базой (слепком), и когда контрольная сумма осталась без изменения, он этот файл проверять не станет. Второй принцип - это проверка системного реестра на состояние (целостность) критически важных ключей и, соответственно, снимок реестра, а третий способ (его еще называют поведенческим) включает в себя мониторинг поведения программ, а именно - того, что в данный момент выполняет программа, и если ее действия подозрительны, антивирус вам об этом сообщит. Проактивный метод не стоит путать с эвристикой и расширенной эвристикой, это несколько разные методы, потому что эвристика все равно обращается к сигнатурам, а проактивный метод имеет четкие правила поведения программ и записей в реестре, которые разработаны производителем.

Но, конечно, и у этого метода есть как сильные стороны, так и слабые. Правила поведенческого анализатора выпускаются производителем в специальных базах (как и сигнатуры), и если, допустим, хакеры изучат поведение антивируса в той или иной ситуации, то они могут создать такое правило для своего вируса, которое будет вписываться в рамки "допустимости" антивирусного модуля проактивной защиты, и тем самым обманут его. Также стоит отметить, что те пользователи, которые работали с таким методом обнаружения вирусов, очень часто натыкались на "ложную тревогу", когда антивирус принимал совершенно безобидное приложение за шпиона или трояна.


Полифаги и фаги

Это доктора, встроенные в антивирус, которые позволяют вылечить файл, после того как в нем был обнаружен вирус сканером - а если быть точным, то фаги извлекают из файла вредоносный код. Однако в некоторых случаях вирусы не только добавляют себя в тело файла, но и уродуют код последнего, делая его восстановление невозможным.

Теперь давайте разберемся, как работает антивирус на практике и как вообще построен процесс работы антивируса. Для начала стоит напомнить, что современные антивирусы состоят из нескольких блоков (как уже упоминалось выше), а именно из монитора (резидентного модуля), сканера, фаервола (брандмауэра) и различных модулей по работе со спамом, фишингом, шпионами, адварами и тому подобной дрянью.

В процессе работы компьютера в оперативной памяти всегда находится монитор, на программном уровне это ядро антивируса, так называемый перехватчик системных событий, который очень глубоко интегрируется в систему (именно по этой причине несколько перехватчиков от различных производителей не уживаются на одной машине - а вот антивирусы, состоящие из двух ядер, существуют, например, у компании McAfee), и все последующие действия отслеживаются антивирусом (будь то проверка файлов на сигнатуры или то поведенческий анализ).

Также во время установки антивируса в систему он интегрируется в почтовые программы, такие как Outlook Express, Eudora, The Bat! и т.д.



Это очень важный аспект, поскольку во время получения почты нужно прямое сканирование трафика из протоколов POP3, SMTP, NNTP, IMAP и тому подобных, потому что многим типам червей, распространяющихся через эти протоколы, совершенно не нужно запуска, им главное попасть на ваш компьютер, дальше сработает механизм. Учтите это! Вам же не хочется, чтобы какой-нибудь червь с трояном отправили на все ваши адреса из почтовой программы ругательные письма. Представляете, что будет с вашим лицом через пару дней, когда до вас доберутся обиженные адресаты?

В процессе того, как монитор отслеживает поведение программ и файлов возможна такая ситуация, что будет обнаружен вирус - где угодно, то ли в кэше вашего браузера, который только что загрузил свеженький вирус с сайта, то ли уже в запущенном процессе или вообще лежащий в файле на диске.



Первым делом задача антивируса - это не дать файлу прав на исполнение, простыми словами - блокировать его, и любые действия над ним будут невозможны (копирование, архивация и т.д.), вторым по плану будет задача встроенного фага обезвредить файл. Конечно же, если вирус был найден эвристическим методом или проактивным, то о лечении и речи быть не может, только карантин до появления сигнатуры в базах или удаление. Также возможно переименование файла, это не даст возможности его запуска в другой раз.



Совсем другая ситуация с уже запущенным процессом, который выполняет деструктивные действия или является частью вирусного механизма. Здесь сложней. Во-первых, этот процесс нужно сначала убить, а затем произвести все вышеназванные действия над ним - но что же делать, если процесс не убиваем? Да, да к сожалению, и такое бывает. Как я уже писал, в таких случаях поможет либо безопасный режим, либо DOS (многие антивирусы позволяют из главного окна программы или меню "Пуск" создать либо загрузочные дискеты для лечения ПК из DOS, либо записать на CD). Когда вирусная активность была замечена проактивным сканером в реестре или конфигурационном файле приложения, сразу поступит предложение исправить это досадное положение и сделать откат на случай ошибки. Решать вам.

В отличие от монитора, сканер нужно запускать вручную, натравив антивирус либо на один файл из контекстного меню, либо через главное окно производить поверку выбранных объектов, целых дисков, отдельных папок.

[Biker]

Очень интересные и полезные статьи. Зачитался. Для тех, кто не знает всю информацию, которая находится в этих статьях сложно полностью представить какими бывают вирусы и антивирусные программы.

От себя хочу ещё дополнить.

Антивирусные программы бывают двух направлений:

1) Антивирусные программы (по англ. "Antivirus programs") - воплощают в себя все общие черты и методы по борьбе с вирусами. Как правило они имеют возможность отслеживать и находить вирусы в реальном времени (антивирусный монитор), а также сканировать трафик с Интернета на наличие вирусов.
2) Спайваре антивирусы (по англ. "Spyware antivirus") - специализированные программы по борьбе с вирусами. Как правило это специализированные утилиты. Их разработчики, как правило, работают в узкой сфере по борьбе с шпионскими вирусами, из за чего их программы можно назвать "специализированными". Они как правило отыскивают шпионские вирусы определёнными методами и по характерным особенностям изменений файлов в системе.

Для полной защиты от вирусов - рекомендую всем:

1) Установить антивирусную программу с возможностью мониторинга вирусов в реальном времени. Эта программа должна быть всегда запущена, если вы вставляете в компьютер сменный носитель или работаете в Интернете. Для этого рекомендую использовать одну из таких программ: Антивирус Касперского (www.kaspersky.ru), NOD (www.eset.com), Avast (www.avast.com), DrWeb (www.drweb.com).
2) Проинсталлировать бесплатные антиспайвар утилиты, которые рекомендую запускать по надобности - в случае подозрения на вирусы. Также рекомендую с помощью этих утилит периодически сканировать свой компьютер на наличие спайвар вирусов. Для этого рекомендую использовать такие бесплатные программы: AVZ (www.z-oleg.com), Dr.Web CureIt (www.freedrweb.com/cureit/), Ad-aware (www.lavasoft.com).
4) Периодически обновлять всё антивирусное ПО.
3) Периодически проверять настройки автозапуска системы. Смотреть, чтобы там не было лишних и подозрительных процессов. При обнаружении лишних процессов - рекомендую обновить свои антивирусные программы и просканировать систему на наличие вирусов. Автозапуск в Windows можно легко проверить с помощью команды msconfig в командной строке или в Пуск > Выполнить.
4) Периодически проверять запущенные процессы в оперативной и виртуальной памяти Windows. Это можно сделать в Панели задач Windows, которая вызывается комбинацией клавиш CTRL+ALT+Del. Но для полного и более интерактивного способа обнаружения и удаления лишних и подозрительный процессов рекомендую использовать такие программы: ProcX (www.firewallleaktester.com) и Process Explorer (www.sysinternals.com).

Помните, что важное для всех вирусов место - это как правило системные папки, такие как: папка Windows , Documents and Settings, System Volume Information, Program Files. Также вирусные файлы или ссылки на них часто могут прятаться в файлах коренного каталога системного диска. Например диска C:/. Если у вас нехватка времени для сканирования всего компьютера, то рекомендую сканировать сначала именно эти папки, и корень системного диска.